Cybercriminaliteit is een serieus en urgent maatschappelijke probleem. De winst in het tegengaan van cybercriminaliteit zal op korte termijn niet liggen in het opsporen van daders of het vergroten van toezicht op internet, maar eerder in het verbeteren van de cyberweerbaarheid van internetgebruikers. Het gedrag van mensen heeft invloed op de kans slachtoffer te worden van cybercriminaliteit zoals phishingen ransomware. Effectieve risicocommunicatie en voorlichting kunnen een belangrijke bijdrage leveren aan het zelfbeschermend en voorbereidend gedrag van eindgebruikers, en daarmee hun capaciteit om zichzelf en/of hun organisatie te beschermen tegen de mogelijke risico’s en effecten. Risicocommunicatie is maatwerk en is idealiter gebaseerd op de beleving en percepties van de doelgroep. Daarom is het van belang voor iedere doelgroep de communicatiestrategie te laten aanpassen aan hun kenmerken, percepties en gedragingen. Aangezien vooral jongeren en mkb’ers relatief vaak slachtoffer zijn van verschillende vormen van cybercriminaliteit, zijn deze twee groepen onderwerp van deze studie. Dit rapport beschrijft een exploratief onderzoek in opdracht van de VeiligheidsAlliantie regio Rotterdam (VAR), en uitgevoerd door Hogeschool Saxion en de Haagse Hogeschool. Het doel is het in kaart brengen van factoren die bijdragen aan zelfbeschermend gedrag door jongeren en mkb’ers ten aanzien van cybercriminaliteit en hoe dit gedrag door middel van effectieve risicocommunicatie kan worden gestimuleerd. Hiertoe is een conceptueel model ontwikkeld (het Cyber Resilience Model), dat inzicht geeft in de mogelijke factoren die de weerbaarheid en zelfbeschermend gedrag kunnen verklaren en voorspellen. Op basis van diepte-interviews en vragenlijstonderzoek onder jongeren en mkb’ers, is onderzocht hoe deze groepen scoren op de verklarende factoren en welke factoren het zelfbeschermend gedrag beïnvloeden. Uit de resultaten blijkt dat bij zowel jongeren als mkb’ers er sprake is van een sterke ‘optimistic bias’. Deze bias houdt in dat men het risico ziet en zich ervan bewust is, maar zichzelf veel minder vatbaar acht om slachtoffer te worden dan anderen. De meeste respondenten beschouwen cybercriminaliteit als een (groot) maatschappelijk risico, maar zien het niet als iets dat hen persoonlijk snel zal overkomen. Verder blijkt dat over het algemeen zowel jongeren als mkb’ers het nuttig vinden om zelfbeschermende of voorbereidende maatregelen te treffen tegen cybercriminaliteit. Zowel jongeren als mkb’ers voeren 8reeds verschillende zelfbeschermende maatregelen uit, maar de meerderheid is ook voornemens om in de toekomst aanvullende maatregelen te treffen. De analyses laten zien dat het zelfbeschermend gedrag van jongeren vooral wordt ingegeven door persoonlijke kenmerken (opleidingsniveau, leeftijd, geslacht en risicogevoeligheid), effectiviteitsverwachtingen, ervaring met slachtofferschap en de perceptie van eigen verantwoordelijkheid om jezelf te beschermen. Daarnaast blijkt dat de intenties om in de toekomst aanvullende zelfbeschermende maatregelen te nemen samenhangen met leeftijd en geslacht, waarbij jongere vrouwen de laagste intenties hebben om zichzelf (beter) te gaan beschermen tegen cybercriminaliteit. Opvallend is, dat de lager opgeleide, jonge vrouwen (jonger dan 18 jaar) het laagst scoren op zelfbeschermend gedrag. Bij mkb’ers wordt zelfbeschermend gedrag vooral bepaald door persoonlijke kenmerken (geslacht, slachtofferschap en risicogevoeligheid), effectiviteitsverwachtingen en subjectieve normen.
De Cyber Resilience Act, versterkt de regels voor cybersecurity van producten met digitale elementen. Deze verordening is gericht op het verbeteren van de cyberveiligheid en veerkracht in de EU door gemeenschappelijke normen vast te stellen voor producten met digitale elementen, zoals verplichte incidentrapporten en automatische beveiligingsupdates.Binnen het project Cybersecurity Noord-Nederland is deze beslisboom en het digitale stappenplan ontwikkeld door een afstudeerstudent, zodat het voor organisaties makkelijker te bepalen is of zij moeten voldoen aan de Cyber Resillience Act.Disclaimer:De afstudeeropdracht wordt uitgevoerd door een vierdejaarsstudent in het kader van zijn/haar afstuderen bij het Instituut voor Rechtenstudies. De student levert een juridisch beroepsproduct op en doet daartoe onderzoek. De student wordt tijdens de uitvoering van zijn/haar afstudeeropdracht begeleid door een afstudeercoach. De inspanningen van de student en de afstudeercoach zijn erop gericht om een zo goed mogelijk beroepsproduct op te leveren. Dit moet opgevat worden als een product van een (vierdejaars)student en niet van een juridische professional. Mocht ondanks de geleverde inspanningen de informatie of de inhoud van het beroepsproduct onvolledig en/of onjuist zijn, dan kunnen de Hanzehogeschool Groningen, het Instituut voor Rechtenstudies, individuele medewerkers en de student daarvoor geen aansprakelijkheid aanvaarden.
In deze publicatie, met als subtitel 'de kracht van verbinding', wordt ingegaan op de onderzoekslijnen en -thema's die vanuit het lectoraat voor de komende jaren zijn vastgesteld, de lopende onderzoeken en de plannen die worden ontwikkeld. Deze aspecten staan centraal in hoofdstuk 2. Daarna wordt in hoofdstuk 3 dieper ingegaan op de invulling van deze plannen en de uitdagingen die daarbij spelen. Dit gebeurt in samenwerking met collega's van binnen en buiten het lectoraat, de onderzoeksgroep, studenten en het werkveld. Het is de overtuiging dat de problemen en uitdagingen op het gebied van digitalisering en veiligheid alleen adequaat kunnen worden aangepakt door middel van goede samenwerking, waarbij verschillende disciplines worden betrokken. Daarom wordt de nadruk gelegd op 'de kracht van verbinding'.
